LINE、プロフ画像が第三者に変更される脆弱性 「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け
LINEアプリのプロフ画像を第三者が変更できる脆弱性があり、この脆弱性を利用してプロフ画像を不正に変更する攻撃もあった。LINEは脆弱性を修正し、被害を受けたユーザーには個別に連絡をしているが、同社が把握できていない被害もあり得るとし、ユーザー自身で確認するよう呼び掛けている。
LINEは、LINEアプリのプロフィール画像(プロフ画像)を第三者が変更できる脆弱性を8月31日に修正したと発表した。この脆弱性を利用してプロフ画像を不正に変更する攻撃も確認。被害を受けたユーザーには個別に連絡をしているが、同社が把握できていない被害もあり得るとし、ユーザー自身で確認するよう呼び掛けている。
8月31日、LINEの脆弱性を発見した人に報奨金を贈る制度「LINE Security Bug Bounty Program」を通じ、プロフの画像アップロード機能にバグがあると報告を受けたという。
LINEが確認したところ、プロフ画像を変える際に使われる画像アップロード機能のAPIにアクセス制御の不備があり、第三者によってプロフ画像を変更できる状態になっていた。
脆弱性は5月17日からあったことが判明。少なくとも2019年8月30日〜31日にかけて、この脆弱性を利用してプロフ画像を不正に変更する攻撃を受けていたことが分かった。個人ユーザーのアカウントだけでなく、LINE公式アカウントやLINE@も影響を受けた。
不正に変更されたと確認した個人ユーザーのプロフ画像については、デフォルト画像に変更し、ユーザーに個別に連絡した。攻撃を受けたLINE公式アカウントなどの一部ユーザーにも、個別に連絡したという。
現時点でプロフ画像が書き換えられたままになっている場合は、同社が把握できていない可能性があるとし、同社に連絡するよう呼び掛けている。
関連記事
- 「LINE」Windows版にDLL読み込みの脆弱性 既に修正済み
Windows版「LINE」アプリに、意図しないDLLを読み込む脆弱性があった。LINEは5月31日に修正版をリリースし、全ユーザーに対して自動アップデートを行ったという。 - LINEアプリの脆弱性を見つけたら報奨金 「LINE Bug Bounty Program」本格展開
「LINE」アプリの脆弱性発見者に報奨金を贈る「LINE Bug Bounty Program」が本格スタート。 - 「LINE」の脆弱性報告者に報奨金を支払うプログラム 1件あたり500ドルから
「LINE」アプリの脆弱性情報を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」をLINEがスタート。報奨金は500ドル〜2万ドルだ。 - LINEに「トーク」のぞき見される脆弱性、修正を完了
LINEは、悪意ある回線に接続した場合にLINEのトーク内容や友だち一覧などがデータが取得・改ざんされる可能性がある脆弱性について、修正が完了したと発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.